[发明专利]一种交换机入端口阻断方法及装置

说明书

本申请提供一种交换机入端口阻断方法及装置。该交换机入端口阻断方法包括：获得交换机对所接收的报文信息的统计结果，每条统计结果对应交换机接收到的一条报文，每条统计结果中至少包括：该条报文的报文特征、以及该条报文在交换机的入端口信息；以及获得报文监控设备提供的非法报文特征；在统计结果中，查找与该非法报文特征相匹配的统计结果；根据匹配得到的统计结果，将该统计结果中的入端口信息确定为待阻断入端口并指示交换机对其进行阻断。本申请在不改变现有网络架构、且仅使用一个报文监控设备的前提下，实现了能够阻断交换机所有入端口的目的，达到了与交换机相连的所有链路上的设备均不被非法报文入侵的技术效果。

技术领域

本申请涉及互联网安全领域，具体涉及一种交换机入端口阻断方法及装置。

背景技术

随着物联网以及基础设施通信系统的迅速发展，海量设备已经能够接入互联网成为物联网的组成部分。和传统互联网相比，物联网涉及的设备数量巨大，人为监管困难，极易被非法报文入侵，进而渗透至整个物联网网络，导致网络瘫痪。因此，需要一种端口阻断方法，以防止非法报文的入侵。

如图1所示，相关技术中的端口阻断方法，其可应用于包括有多台终端1、交换机2、报文监控设备3、设备管理中心4以及视频终端服务器5的网络架构中。该方法在交换机2与视频终端服务器5之间设置有报文监控设备3和设备管理中心4，当任一终端发送了意图入侵视频终端服务器5的非法报文后，会在转发过程中被报文监控设备3识别并拦截，同时告知设备管理中心4以使其控制交换机2阻断转发该非法报文的出端口，以避免非法报文继续被转发至视频终端服务器5。

但由于交换机2所接入的终端数量较大，出于成本及网络架构设计难度的考虑，难以在每一个终端与交换机2之间都设置有报文监控设备3和设备管理中心4，因此，进入交换机2的非法报文仍然可能被转发至其他终端。例如，在终端A所发送的非法报文进入交换机2之后，尽管不会被转发至设备管理中心4，但是该非法报文可能会通过交换机2被转发至终端B，使终端B受到非法报文的入侵。

发明内容

有鉴于此，本申请提供一种交换机入端口阻断方法及装置。

具体地，本申请是通过如下技术方案实现的：

一种交换机入端口阻断方法，所述方法包括：

获得交换机对所接收的报文信息的统计结果，每条统计结果对应交换机接收到的一条报文，每条统计结果中至少包括：该条报文的报文特征、以及该条报文在交换机的入端口信息；以及

获得报文监控设备提供的非法报文特征；

在所述统计结果中，查找与所述非法报文特征相匹配的统计结果；

根据匹配得到的统计结果，将该统计结果中的入端口信息确定为待阻断入端口并指示所述交换机对其进行阻断。

一种交换机入端口阻断装置，所述装置包括：

统计结果获得单元，用于获得交换机对所接收报文信息的统计结果，每条统计结果对应交换机接收到的一条报文，每条统计结果中至少包括：该条报文的报文特征、以及该条报文在交换机的入端口信息；以及

非法报文特征获得单元，用于获得报文监控设备提供的非法报文特征；

特征匹配单元，用于在所述统计结果中，查找与所述非法报文特征相匹配的统计结果；

入端口阻断单元，用于根据匹配得到的统计结果，将该统计结果中的入端口信息确定为待阻断入端口并进行阻断。